CVSS: 5.3EPSS: 0%CPEs: 2EXPL: 1CVE-2021-33617
https://notcve.org/view.php?id=CVE-2021-33617
Zoho ManageEngine Password Manager Pro before 11.2 11200 allows login/AjaxResponse.jsp?RequestType=GetUserDomainName&userName= username enumeration, because the response (to a failed login request) is null only when the username is invalid. Zoho ManageEngine Password Manager Pro versiones anteriores a 11.2 11200, permite la enumeración login/AjaxResponse.jsp?RequestType=GetUserDomainName&userName= username, porque la respuesta (a una petición de inicio de sesión fallida) es nula sólo cuando el nombre de usuario no es válido • https://herolab.usd.de/security-advisories/usd-2021-0015 https://www.manageengine.com https://www.manageengine.com/products/passwordmanagerpro/release-notes.html#pmp11200 •
CVSS: 5.9EPSS: 0%CPEs: 5EXPL: 0CVE-2021-31857
https://notcve.org/view.php?id=CVE-2021-31857
In Zoho ManageEngine Password Manager Pro before 11.1 build 11104, attackers are able to retrieve credentials via a browser extension for non-website resource types. En Zoho ManageEngine Password Manager Pro versiones anteriores a 11.1 build 11104, unos atacantes son capaces de recuperar credenciales por medio de una extensión del navegador para tipos de recursos que no son del sitio web • https://www.manageengine.com https://www.manageengine.com/products/passwordmanagerpro/release-notes.html#pmp11104 •
CVSS: 9.8EPSS: 0%CPEs: 15EXPL: 0CVE-2020-9347
https://notcve.org/view.php?id=CVE-2020-9347
Zoho ManageEngine Password Manager Pro through 10.x has a CSV Excel Macro Injection vulnerability via a crafted name that is mishandled by the Export Passwords feature. NOTE: the vendor disputes the significance of this report because they expect CSV risk mitigation to be provided by an external application, and do not plan to add CSV constraints to their own products ** EN DISPUTA ** Zoho ManageEngine Password Manager Pro hasta la versión de 10.x tiene una vulnerabilidad de inyección de macro en Excel CSV a través de un nombre especialmente diseñado que es mal manejado por la función Exportar contraseñas. NOTA: el proveedor cuestiona la importancia de este informe porque espera que una aplicación externa proporcione la mitigación del riesgo de CSV y no planea agregar restricciones de CSV a sus propios productos. • https://www.infigo.hr/upload/web_struktura/Zoho_ManageEngine_Password_Manager_Pro_10.x_CSV_Excel_Macro_Injection.txt • CWE-1236: Improper Neutralization of Formula Elements in a CSV File •
CVSS: 8.8EPSS: 0%CPEs: 5EXPL: 0CVE-2020-9346
https://notcve.org/view.php?id=CVE-2020-9346
Zoho ManageEngine Password Manager Pro 10.4 and prior has no protection against Cross-site Request Forgery (CSRF) attacks, as demonstrated by changing a user's role. Zoho ManageEngine Password Manager Pro versiones 10.4 y anteriores, no poseen protección contra ataques de tipo Cross-site Request Forgery (CSRF), como es demostrado al cambiar el rol del usuario. • https://www.infigo.hr/upload/web_struktura/Zoho_ManageEngine_Password_Manager_Pro_10.4_CSRF.txt https://www.manageengine.com/products/passwordmanagerpro/issues-fixed.html • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 6.5EPSS: 0%CPEs: 4EXPL: 0CVE-2016-1159
https://notcve.org/view.php?id=CVE-2016-1159
In ZOHO Password Manager Pro (PMP) 8.3.0 (Build 8303) and 8.4.0 (Build 8400,8401,8402), underprivileged users can obtain sensitive information (entry password history) via a vulnerable hidden service. En ZOHO Password Manager Pro (PMP) versiones 8.3.0 (Build 8303) y 8.4.0 (Build 8400,8401,8402), unos usuarios no privilegiados pueden obtener información confidencial (historial de contraseñas de entrada) por medio de un servicio oculto vulnerable. • http://jvn.jp/vu/JVNVU90405898/index.html https://excellium-services.com/cert-xlm-advisory/cve-2016-1159 https://www.manageengine.com/products/passwordmanagerpro/issues-fixed.html https://www.manageengine.com/products/passwordmanagerpro/release-notes.html • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •